Com Scanning Autofix, GitHub avança na segurança do Desenvolvimento de Software

O GitHub, plataforma para pessoas desenvolvedoras impulsionada por Inteligência Artificial, está lançando aos usuários do GitHub Advanced Security a fase beta da sua mais recente inovação em segurança de código: o Code Scanning Autofix. O novo recurso ajuda a corrigir mais de dois terços das vulnerabilidades encontradas com pouca ou nenhuma edição, acelerando significativamente o processo de correção e revolucionando a maneira como as pessoas desenvolvedoras abordam e corrigem vulnerabilidades em seus projetos de software.

Encontrado significa corrigido
A ideia principal do Code Scanning Autofix é simples: encontrado significa corrigido. Ao integrar essa funcionalidade diretamente no workflow do desenvolvimento, o GitHub oferece uma solução que não apenas identifica, mas também resolve rapidamente as vulnerabilidades encontradas, garantindo assim a segurança contínua dos aplicativos.

Alimentada pela tecnologia avançada do GitHub Copilot e CodeQL, a ferramenta é um processo automatizado que analisa o código-fonte em busca de erros, vulnerabilidades ou áreas que possam ser melhoradas. “O CodeQL realiza uma análise estática do código, identificando problemas potenciais. Em seguida, as regras práticas e as APIs do GitHub Copilot são combinadas para fornecer sugestões de correção ou melhorias aprimorando a qualidade e a segurança do código de forma mais eficiente”, explica Eric Tooley, gerente Sênior de Marketing de Produto do GitHub sobre o funcionamento do recurso.

Pierre Tempel, Staff Product Manager do GitHub, afirma que priorizando a experiência do desenvolvedor no GitHub Advanced Security, as equipes passaram a corrigir 7 vezes mais rápido do que quando utilizavam as ferramentas de segurança tradicionais. “O Code Scanning Autofix é o próximo passo, ajudando as pessoas desenvolvedoras a reduzirem drasticamente o tempo e o esforço gastos na correção”, afirma o executivo.

Facilidade de uso e implementação
Essa funcionalidade abrange mais de 90% dos tipos de alerta em JavaScript, TypeScript, Java e Python. Quando uma vulnerabilidade é descoberta em uma linguagem já suportada na plataforma, as sugestões incluirão uma explicação em linguagem natural da correção sugerida, juntamente com uma visualização da sugestão de código que o desenvolvedor pode aceitar, editar ou descartar. Além das alterações no arquivo atual, essas sugestões de código podem incluir alterações em vários arquivos e as dependências que devem ser adicionadas ao projeto.

Assim como o GitHub Copilot alivia os desenvolvedores de tarefas repetitivas, a correção automática do code scanning ajudará as equipes a recuperarem o tempo que antes era gasto em correções. Com um volume reduzido de vulnerabilidades diárias, será possível se concentrar em estratégias para proteger os negócios e, ao mesmo tempo, acompanhar um ritmo acelerado de desenvolvimento.

Próximos Passos
O GitHub continuará a adicionar suporte para mais linguagens de programação, inserindo o C# e Go em seguida. As pessoas desenvolvedoras são incentivadas a participar da discussão sobre feedback e recursos do Code Scanning Autofix para compartilhar suas experiências e ajudar a orientar melhorias adicionais na experiência da ferramenta.